Prob mit hwiper.exe

[Tobias Beßenreithe]

hi hab die hwiper.exe auf dem rechner. weiß zwar das man sie löschen soll aber bevor ich mit dem tool rankam hat norton die datei scheinbar nur oberflächlich gelöscht. jetzt bräuchte ich ein tool um die datei direkt aus dem entsprechendem cluster zu löschen. wisst ihr da zufällig eins des nicht nur die für windows sichtbaren ordner und so durchsucht oder mit dem man so was sicher löschen kann?

[Ruby]

Hallo Tobias

es ist wahrscheinlich nicht damit getan, diese eine Datei zu löschen.

Lade HijackThis runter.
(Kostenloses Zip-Tool: SIMPLYZIP)
Erstelle ein HijackThis Logfile laut Anleitung.
Poste es in vB Code.

[Tobias Beßenreithe]

hab hijackthis schon laufen lassen allerdings ist in der log keine spur von irgend was verdächtigem. hab alle überprüft und sind saubere programme die von mir installiert worden sind. Norton hat ja schon alle einträge auf die datei gelöscht. ich möchte nur sicherheits halber auch die reste dieser datei löschen.

[Ruby]

... und wir möchten bitte das HijackThis Logfile sehen @ Tobias
Danke

[Tobias Beßenreithe]

Sry wegen der späten antwort war noch mit meinem laptop unterwegs und hatte das log net dabei.

Code:

Logfile of HijackThis v1.99.1
Scan saved at 18:13:44, on 30.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microdoof Internetz Teil
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=127.0.0.1:3128;gopher=127.0.0.1:3128;http=127.0.0.1:3128;https=127.0.0.1:3128;socks=127.0.0.1:1080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: pdfMachine - {0E1230F8-EA50-42A9-983C-E22ABC2EED3F} - C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgstb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - http://sun.bhs-corrugated.de/iNotes6.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\CDI.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Programme\W-LAN\SiSWLSvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

also in der log war nichts enthalten das erst nach der infektion aufgetaucht währe. das einzige sind die vielen symantec shared einträge. da wart ich noch auf die mail von ihnen ob des normal ist das die des so zumüllen. ^^.

ansonsten wurden die sachen von mir persönlich gecheckt und installiert.
Das System läuft so auch schon einige wochen so ca 6 seit der letzten änderung. des war das update von zone alarm. ps is des normal das einem des neue zone alarm mit anti spam sogar die admin rechte nimmt wenn man sich verklickt? des is ja bescheuert. des sollte doch nur ne firewall sein.

[Speedy]

hi, ist das logfile vom abgesicherten modus ? wenn ja, ein aktuelles von normalen modus erstellen und posten.

Platform: Windows XP XXX (WinNT X.XX.XXXX)
MSIE: Internet Explorer v6.00 XXX (X.XX.XXXX.XXXX)
windows-update durchführen, entweder direkt von hier, oder cd bestellen bei Microsoft oder einer heft-cd

du verwendest eine alte version des adobe acrobat readers aktualisieren.

--------------------------------------
diese dateien bei Virustotal, oder HijackThis überprüfen lassen. ergebnis, egal wie es aussieht, posten.

C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgstb.dll


hijackthis starten -> open the misc tools section -> open uninstall manager -> save list -> dieses logfile speichern und anschließend den inhalt hier posten. bitte schreib zu jedem programm dazu, wozu es benötigt wird.
--------------------------------------
start->systemsteuerung->software->programme ändern oder entfernen-> nachsehen, ob hier ein, oder mehrere programme installiert sind, die nicht absichtlich von dir installiert wurden, deinstallieren -> name der programme hier posten! kann ein programm nicht deinstalliert werden, ein möglicher grund: es ist in verwendung, mit dem taskmanager beenden und dann deinstallieren.
---------------------------------------
meist gibt es bei antivirenprogrammen einen infectet oder quarantäne-ordner, diesen bitte leeren.
---------------------------------------
start->systemsteuerung->internetoptionen->karteikarte allgemein->cookies und dateien löschen, verlauf leeren und bei einstellungen nie aktivieren
---------------------------------------
explorer starten C:\ markieren, rechte maustaste ->eigenschaften wählen->bereinigen->hier folgendes aktivieren übertragene programmdateien, temporary internet files, offlinewebseiten, papierkorb,temporäre dateien
(ordneransicht beachten, und alle temp. ordner suchen, sind noch dateien vorhanden manuell löschen)
> geschützte systemdateien ausblenden < deaktivieren und
> versteckte ordner und verzeichnisse < aktivieren
---------------------------------------
download von ewido, installieren, update ziehen, im abgesicherten modus bei deaktivierter systemwiederherstellung das system scanen und bereinigen lassen, logfile posten
--------------------------------------

[Tobias Beßenreithe]

Ähm ok. mal langsam ^^ hab vieleicht vergessen zu sagen das ich informatiker bin. Mein system läuft seit über 1,5 jahren ohne ungewollte zwischenfälle. Und wird nur alle 2 Monate mal neu gestartet. Es war zu dem zeitpunkt nicht im abgesicherten modus. wird aber per script jeden tag von
!allem! unwichtigem befreit um maximale performance für diverse apps zu garantieren. wir (ich und einige kameraden) haben dann ausprobiert wie gut unsere systeme die standart web angriffe wegstecken wenn wir sie gezielt übers lan schicken. haben unsere rechner danach mit allen möglichen tools gecheckt und festgestellt das bis auf die hwiper.exe von supersearch alles entfernt worden ist bevor schaden entstanden ist. Auch die einträge die die hwiper aktivieren nur eben die datei nicht, die versteckt sich noch in ein paar cluster meines pcs. der zwischen den system32 einträgen rumstolpert. da ich weiß das man so was geziehlt auch ohne windows index ansprechen kann brauch ich und einer meiner kumpels ein tool um auch diese datei noch löschen zu können. da ihr hier ja mit solchen tools zimlich fitt seit hab ich mal nachgefragt. Die dll gehöhrt im übrigen zu einem troyaner der ebenfalls zu testzwecken installiert wurde. hat aber keinerlei rechte irgendwas zu tun. wartet so zu sagen nur auf aktivierung. Zu windows update greif ich sowieso nicht da durch die vielen zusatzpatches und flicken die leistung gewaltig in den keller geht. hab das schon ausgetestet für die serverzwecke ist das die optimale lösung. adobe benutze ich zimlich selten wird aber upgedatet wenn ich ihn starte trotzdem danke.
Ebenfalls danke für den link zu ewido. sieht nach einem brauchbaren prog aus.
Sollte sichs als wirklich brauchbar erweisen werd ich da mal ein bischen geld investieren. Wie gesagt ich suche nur ein tool um dateien zu löschen die von "windoof" nicht erfasst und gelistet werden.
Trotzdem vielen dank finds das forum hier wirklich ne klasse idee. Selten das das system user helfen user so gut funktioniert.

[Ruby]

Irrtum deinerseits @ Tobias

Spezialisten helfen Usern.

[Tobias Beßenreithe]

Sry. Dann ist die erfolgsquote wohl erklährt. Kennt ihr bzw kennst du jetzt so ein programm? ewido läuft zwar zur zeit hab aber bis jetzt noch nix gefunden. mal gucken ist auch erst bei 20%

[Ruby]

lade dir ein Programm von www.kaspersky.com runter. Das beste AV, was du bekommen kannst, sollte aber eigentlich bekannt sein?